Top 10 Joomla-sikkerhedsproblemer (og hvordan man løser dem)

Top ti Joomla-sikkerhedsproblemer ... og hvordan man undgår dem

Joomla Sikkerhedsproblemer er altid et varmt problem :) Desværre er der nogle fejl, der gentages igen og igen, hvilket skaber sikkerhedsproblemer, der let kan undgås. Her er problemerne - Joomla-sikkerhedsproblemerne, og hvad du skal gøre for at undgå dem. 

Top ti joomla-sikkerhedsproblemer og hvordan man løser dem

 

10 Joomla-sikkerhedsproblemer

10. Billige hostingudbydere

Gå aldrig efter den billigste hostingudbyder, du kan finde.

Typisk bruger billige hostingudbydere delte servere, der er vært for hundredvis af andre websteder, hvoraf nogle er spam-websteder af lav kvalitet, der let kan hackes. Da de typisk har samme IP-adresse, vil dit websted være langsomt, være i et "dårligt kvarter" med et lavt omdømme og muligvis blive kompromitteret, hvis andre steder bliver hacket.

Tjek listen over dette websteds anbefalede og Joomla-godkendte hostingudbyder forum CollectiveRay her.

9. Ingen sikkerhedskopier

Sørg for, at du har regelmæssig Joomla sikkerhedskopier. Hvis dit websted bliver hacket, eller der sker noget, kan du genopbygge fra bunden. Vi vil anbefale at gå til en kombination af hostingbaserede sikkerhedskopier som dem, der tilbydes af InMotion (den vært, vi bruger og stoler på - link i forrige afsnit) og derefter bruge en tredjepartsudvidelse som f.eks. AkeebaBackup.

8. Spring over hærdning (tilpasning af indstillinger for sikkerhed) af PHP og sikker Joomla! indstillinger

Glemmer eller springer over justeringen af ​​PHP og Joomla! indstillinger for øget sikkerhed er et stort nej-nej.

Der er mange små indstillinger og tweaks, du kan gøre for at oprette din PHP-server og Joomla! sikrere og forhindre, at de fleste Joomla-sikkerhedsproblemer opstår i første omgang og undgår alle typer sikkerhedsproblemer.

Vi har en liste over de ting, du skal gøre for at "hærde" din installation længere nede i denne artikel.

7. Brug af svage adgangskoder eller genbrug af adgangskoder

Brug det samme brugernavn og adgangskode til din online bankkonto, Joomla! administratorkonto, Amazon-konto, Yahoo-konto, Gmail-konto og overalt ellers er en anden fejl, du skal undgå som pesten.

Brug altid stærke adgangskoder, der adskiller sig fra dem til dine andre konti.

Husk også altid at ændre navnet på admin-kontoen til noget andet end "admin". Det er også meget tilrådeligt at installere et plugin som f.eks Adminexil der beskytter din administrator-backend fra hackingforsøg.

6. Installer og glem

Når du har installeret dit helt nye smukke Joomla! -Drevne websted, skal du kontrollere det regelmæssigt og sørge for, at intet er gået galt.

Mange ting kan gå galt, og du kan få alle mulige Joomla-problemer, hvis du ikke vedligeholder alle komponenterne i dine Joomla-installationer.

Lad os hjælpe dig med at styre din Joomla bedre

joomla

Gratis e-bog-knap til Joomla-tip

5. Har ingen udviklingsserver

Alle opgraderinger og udvidelsesinstallationer skal først afprøves på en udviklingsserver, inden de udføres på live-webstedet.

Hvis noget går galt på udviklingsserveren, kan du undgå at oprette det samme problem på serveren, og du vil sikre dig, at dit live-site forbliver rent. Du kan bruge enkle servere, der kan installeres lokalt, f.eks XAMPP eller MAMP.

4. Stoler på alle tredjepartsudvidelser

Hvis du vil have optimal Joomla-sikkerhed, skal du kun installere de mindst mulige udvidelser, du har brug for.

Hvis du kan undgå at installere et tredjepartsmodul, skal du undgå det. Ikke alle tredjepartsudvidelser er fri for problemer, og nogle er bare forfærdelige, buggy og indeholder sårbarheder.

Hver tredjepartsudvidelse er en anden komponent, der kan udsætte dig for sårbarheder og skal holdes opdateret. Vær forsigtig med de tredjepartsudvidelser, du installerer, vælg helst de professionelle komponenter fra velrenommerede virksomheder. 

Vi installerer typisk kun udvidelser fra de større leverandører såsom RegularLabs, Tassos Marinos, Akeeba osv.

3. Glemmer at beholde din Joomla! websted opdateret

Efter installation af dit helt nye smukke Joomla! -Drevne websted, skal du holde dig opdateret med eventuelle stabile udgivelser og opdatere med hver stabile udgivelse.

De fleste stabile udgivelser løser problemer og sårbarheder.

Hvis du glemmer at opgradere, bliver dit websted udsat for alle mulige Joomla-problemer. Dette gælder også for enhver 3. part Joomla udvidelser du installerer. Der er en måde at hold din Joomla altid opdateret dog - du vil måske se på det her.

Joomla sikkerhedsproblemer - sørg for at holde joomla opdateret2. Mangel på information, når man beder om hjælp

Hvis dit websted bliver hacket / krakket, skal du gå til Joomla-fora, og inden du begynder at sende dig væk som en skør, skal du sørge for at have alle relevante oplysninger tilgængelige, såsom den version af Joomla du har installeret, hvilken version af tredjepartsudvidelser du har installeret.

Disse oplysninger hjælper med at identificere, hvad der kunne have forårsaget dit hack, og hvordan man løser og undgår, at det sker igen.

1. Ret enhver revnet fil, og glem den

Når dit websted er blevet revnet, er det ikke nok at rette den beskadigede fil.

Tjek dit websteds logfiler, skift dine gamle adgangskoder, fjern hele biblioteket og genopbyg det fra rene sikkerhedskopier, og foretag alle forholdsregler!

Alvorlige Joomla -sikkerhedsproblemer kan komme igen, hvis du ikke gendanner fra en ren backup, fordi bagdøre kan være til stede i din installation, hvilket vil være reactivated af hackere, når du fjerner det, du tror er den eneste inficerede fil.

Dette er en revideret version af Top ti dummeste administrator Tricks uden sarkasme og med anbefalinger til, hvordan man løser de ti største Joomla Security-problemer i stedet :)

Alle de ting, du skal gøre for at sikre dit Joomla-websted 

Selvom som standard Joomla! kerneudviklingsteam tager store forholdsregler for at sikre, at der er få eller ingen sårbarheder i koden, der er et antal indstillinger, som, hvis de ikke får behørig opmærksomhed, kan lade dit websted være sårbart over for angreb.

Denne artikel vil give en liste over foranstaltninger, der skal træffes for at sikre en mere sikker Joomla! installation. Dette er alle tips, som vi bruger på vores egen webdesignblog, CollectiveRay, så vi ved, at disse fungerer pænt!

1. Omdøb Joomla! admin-konto

Dette enkle trin hærder dit websted betydeligt. igen hvis du er paranoid, skal du bruge tilfældige tegn både til brugernavnet og adgangskoden til administratoren

2. Sørg for, at din configuration.php-fil ikke kan skrives!

Dette trin er kritisk, og en verdensbeskrivelig configuration.php-fil er en invitation til hacking.

Du kan gøre dette ikke-skrivbart fra Joomla. Dette er noget, som nye versioner af Joomla gør automatisk, men du kan bekræfte, om der er problemer med filtilladelser ved at gå til System> Systeminformation> Mappetilladelser. Configuration.php skal markeres som Uskrivbar.

3. Forsøg altid at holde din Joomla-installation opgraderet til den nyeste version

Hver Joomla-opdatering eller nye versioner tilføjer typisk sikkerhed ved at lukke sikkerhedshuller og udnyttelser eller andre opdagede sårbarheder. Hvis du springer enhver opdatering over, forlader du det "hul" åbent i dit websteds sikkerhed og risikerer at blive hacket.

Enhver sikkerhedsfokuseret opdatering bør ALDRIG springes over. Hver opdatering vil blive navngivet som "Vedligeholdelse" og løser fejl eller små problemer og "Sikkerhed", som typisk løser sikkerhedssårbarheder. Sikkerhedsopdateringer skal installeres med det samme, fordi det betyder, at sårbarheden nu er kendt af hackere, og de vil straks begynde at udnytte den.

4. Opgrader til den nyeste PHP-version

Hvis din vært tillader det, skal du skifte til de nyeste sikre versioner af PHP.

Hver efterfølgende udgivelse af PHP introducerer yderligere sikkerhed (udover forbedring af ydeevnen). Desværre opdateres ældre versioner af PHP typisk ikke, selvom der findes sikkerhedsproblemer.

Dette betyder, at eventuelle opdagede sikkerhedsproblemer IKKE har en løsning, og dit websted vil blive udsat for sådanne bedrifter.

5. Sørg for korrekte fil- og mappetilladelser

Når du har et stabilt websted, skal du ændre alle filtilladelser til skrivebeskyttet ved hjælp af CHMOD (644 for filer, 755 for mapper).

Enhver god FTP-software skal give dig mulighed for at gøre dette uden at skulle bruge nogen scripts, eller du kan gøre dette via CPanel eller File Explorer.

Du kan også bruge den globale konfiguration til at anvende standardtilladelserne til alle filer og mapper.

Ældre versioner af Joomla bruger til at tillade ændringer direkte fra administratoren i henhold til nedenstående instruktioner, men de nyere versioner af Joomla gør dette automatisk. Sørg dog for ikke at ændre dem selv for at løse et andet problem.

Gå til Websted> Global konfiguration> Server-fanen. Rul ned, indtil du finder File Creation. Klik på CHMOD nye filer til 0644 og CHMOD nye mapper til 0755, og klik på afkrydsningsfeltet Anvend på eksisterende filer for at køre denne indstilling på alle dine nuværende filer. Når dette er gjort, skal du sikre dig, at filen configuration.php stadig ikke kan skrives. Hvis det er skriveligt, skal du klikke på Make Unwriteable efter at have gemt for at gøre det ikke skriveligt

Anvendelse af tilladelser ved hjælp af FTP-klient

Du kan bruge en udvidelse som eXtplorer, som har en nem måde at redigere tilladelser på. Det giver dig mulighed for at gøre dette rekursivt og dermed undgå at skulle gå gennem hver eneste mappe. Du kan også bruge komponenter såsom administratorværktøjer til Joomla! af Akeeba, som automatisk kan kontrollere og løse sådanne problemer. 

Admin Tools udfører også en række andre præstations- og sikkerhedsrettelser. Tjek det her.

6. Tjek dit websted for sårbarheder

Der er et antal værktøjer, der tester din Joomla for korrupte filer og sårbare filer. Disse er typisk penetrationstestere, der tester for almindelige problemer.

Du kan også bruge listen Joomla Sårbare udvidelser. Dette er en direkte liste over eventuelle udvidelser, der har en sårbarhed. Hvert så ofte (hver måned eller deromkring) skal du kontrollere den seneste liste for at sikre, at ingen af ​​dine nuværende Joomla-udvidelser er på listen.

Hvis nogen af ​​dine udvidelser er på denne liste, skal du sørge for at opdatere den til den nyeste (patchede) sikre version.

7. Lad aldrig ekstra filer køre rundt

Sørg for, at der ikke er unødvendige filer på din webserver.

Slet eventuelle filer, der er tilbage fra installationen. Slet din installation mappe og eventuelle komprimerede filer, som du muligvis har uploadet til din webserver for at installere Joomla! kerne. Fjern eventuelle komponenter / moduler / skabeloner, som du ikke bruger.

Hold altid dit websted så magert som muligt. Eventuelle ekstra filer kan blive en forpligtelse. 

8. Beskyt dine konfigurationsfiler og følsomme mapper

  • Alle konfigurationsfiler bør ikke placeres i det offentlige HTML-bibliotek. Nogle webhosts (f.eks. GoDaddy) tillader dig muligvis ikke dette, så det næstbedste er at oprette en adgangskodebeskyttet mappe ved hjælp af en .htaccess-fil. Hvis du ikke er sikker på funktionen af ​​htaccess-filen, er det en god ide at læse om den, før du fortsætter. Opret en mappe, det er en god ide at navngive det noget tilfældigt f.eks ehxum3jq snarere end at konfigurere i din Joomla! vejviser.
  • Opret en .htaccess-fil for at beskytte biblioteket. Brug en .htaccess-generator til at hjælpe dig med at generere filen. Baseret på eksemplet ovenfor skal du have en .htaccess-fil svarende til denne. Husk, at det bibliotek, du vil beskytte, er hjemmekataloget (hvis du ikke er sikker på, at du kan finde det i den absolutte sti til din oprindelige konfiguration. Php-fil) og tilføje biblioteksnavnet, vil du placere dine beskyttede filer i f.eks / home / indhold / a / b / c / abcompany / html / ehxum3jq /
  • NB: Dette giver kun grundlæggende godkendelse, som ikke tilbyder streng sikkerhed. Med ordene fra Apache.org:

Grundlæggende godkendelse bør ikke betragtes som sikker for nogen særlig streng definition af sikker.

Selvom adgangskoden er gemt på serveren i et krypteret format, overføres den fra klienten til serveren i almindelig tekst på tværs af netværket. Enhver, der lytter med en hvilken som helst række af pakkesniffer, kan læse brugernavnet og adgangskoden i det klare, når det går over.

Parameter til oprettelse af .htaccess-fil

Genereret .htaccess-fil og .htpasswd

For virkelig at tilbyde sikkerhed skal du sende adgangskoden via SSL (hvor den ville blive krypteret undervejs).

  • Brug stærke adgangskoder eller adgangssætninger eller tilfældige tegn til .htpasswd-filen, som skal være noget lignende denne. Du kan beskytte din mappe endnu mere ved at bruge IP'er i .htaccess-filen som angivet i denne ofte stillede spørgsmål
  • Test for at sikre, at biblioteket er beskyttet. Sæt en fil i den, og prøv at få adgang til f.eks. Https://www.yourcompany.com/ehxum3jq/myfile.txt. Du skal blive bedt om et kodeord. Hvis du angiver det brugernavn og den adgangskode, der er angivet under genereringen, skal du give adgang til filen, ellers skulle du få en 401-fejl (Adgang nægtet).

Grundlæggende godkendelsesvindue

  • Brug følgende Joomla Forum Ofte stillede spørgsmål for at hjælpe dig med at flytte konfigurationsfiler fra den offentlige HTML til den adgangskodebeskyttede mappe, du har oprettet. Vær dog ekstra forsigtig, når du opdaterer den globale konfigurationsfil, da dette overskriver den fil, du har oprettet. Skrivbeskyt filen configuration.php, og eventuelle ændringer, du har brug for, gør dem manuelt ved hjælp af en FTP-klient. Og tilføj følgende linje, så enhver, der forsøger at få adgang til php-filen, får en "Begrænset adgang" -fejl. Som hovedregel skal alle PHP-filer på dit websted indeholde denne linje. Enhver PHP-fil, der ikke indeholder denne linje, er en sikkerhedsrisiko.

 

defineret ('_ JEXEC') eller die;

defineret ('_VALID_MOS') eller die ('Begrænset adgang'); // til ældre versioner af Joomla

 

9. Hold udvidelser fra tredjepart opdateret

Tredjepartsudvidelser er en af ​​de bedste ting ved Joomla!

Der er så mange forskellige udvidelser, at du sandsynligvis kan finde noget, der allerede er skrevet til dig. Udvidelser til 3D-partier findes dog i alle former og størrelser og overvåges ikke af kerneteamet.

Dette betyder, at der findes sårbarhed, som kan kompromittere din installation. Du skal være yderst forsigtig med at installere eventuelle udvidelser. Overvåg listen over sårbare tredjeparts / ikke-Joomla-udvidelser. Hvis du installerer udvidelser, skal du sørge for at overvåge deres udgivelser og sikre, at du følger deres sikkerhedsanbefalinger.

For mere information gå til Joomla! Ofte stillede spørgsmål om sikkerhed.

10. Sikkerhedskopiering! Backup! Backup!

Selv hvis du har taget ALLE skridt for at sikre, at dit websted er 100% sikkert, kan sårbarheder stadig lure og vente på at blive fundet og udnyttet. Hvis dit websted bliver hacket, SKAL du sikre, at det kommer tilbage online hurtigst muligt med så lidt tab af indhold som muligt. Til dette skal du sikre dig, at du har god sikkerhedskopiering (dagligt eller oftere efter behov).

AkeebaBackup er en open source-komponent til Joomla! CMS, der giver mulighed for fuld sikkerhedskopiering af websteder (filer og database). Det giver dig mulighed for at oprette fulde sikkerhedskopier og har fuld funktionalitet til at gendanne dit websted, hvis ting går i mave.

Har du andre Joomla-sikkerhedstip?

Det er lige nu. Hvis du har yderligere Joomla-sikkerhedsforslag, vil vi meget gerne høre dem i kommentarerne nedenfor.

Om forfatteren
David Attard
Forfatter: David AttardInternet side: https://www.linkedin.com/in/dattard/
David har arbejdet i eller omkring online / digital industri i de sidste 18 år. Han har stor erfaring inden for software- og webdesignindustrien ved hjælp af WordPress, Joomla og nicher, der omgiver dem. Som digital konsulent er hans fokus på at hjælpe virksomheder med at få en konkurrencemæssig fordel ved hjælp af en kombination af deres hjemmeside og digitale platforme, der er tilgængelige i dag.

En ting mere... Vidste du, at folk, der deler nyttige ting som dette indlæg, også ser FANTASTISKE ud? ;-)
Vær venlig forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!

Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.

 

Hvem er vi?

CollectiveRay drives af David Attard - arbejder i og omkring webdesign -nichen i mere end 12 år, og vi giver tips til mennesker, der arbejder med og på websteder. Vi driver også DronesBuy.net - et websted for drone -amatører.

David attard

 

 

Forfatter (e) Fremhævet den:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot logo   WPMU DEV-logo   og mange flere ...